Madrid, junio de 2009 Seguridad en bases de datos: SQL Server 2005 y Oracle 10g.

Slides:



Advertisements
Presentaciones similares
Instalación de wordpress
Advertisements

CONTENIDOS 2. Objetivos de la seguridad informática
GFI LANguard Network Security Scanner Version 8 .0 !
Componentes de ASP.NET Leonardo Diez Dolinski Servicios Profesionales Danysoft.
Madrid, junio de 2009 Seguridad en bases de datos: SQL Server 2005 y Oracle 10g.
Madrid, junio de 2009 Seguridad en bases de datos: SQL Server 2005 y Oracle 10g.
Control Interno Informático. Concepto
DIRECT ACCESS.
EQUIPO ·# 3 SISTEMAS OPERATIVOS
0/ Localizar la intranet en los tablet del alumno. Como la Intranet está instalada en algunos ordenadores, debemos localizarla primeramente para poder.
1 ESTRATEGIA DE IMPLEMENTACION DE MEDIDAS DE GOBIERNO DE LAS TECNOLOGIAS DE LA INFORMACION La Antigua, Guatemala 23 de Septiembre de 2008.
2.5 Seguridad e integridad.
La herramienta ideal para administrar terminales de control de asistencia. Facilita los procesos de lectura de la información en las terminales programando.
Problemas asociados a DHCP. Seguridad.
DETECCIÓN DE INTRUSOS rodríguez García Juan Carlos 3812
Implementación de seguridad en aplicaciones y datos
Config. Dispositivos de Red. Introducción Seguridad  No se debe iniciar hablando sobre seguridad en las redes sin antes comenzar con temas como:  Desarrollar.
Auditoria Informática Unidad II
John H. Titto Noriega /jtitto.system.
Firewall Un firewall es software o hardware que comprueba la información procedente de Internet o de una red y, a continuación, bloquea o permite el paso.
ARIS-G: Software de Monitoreo Geomecánico de Superficies
Por: Santiago Toro Rendón Raquel Sepúlveda.  El SO se instala en una sección definida de la unidad de disco duro, denominada partición de disco. Existen.
FIREWALL.
Config. Dispositivos de Red. Introducción Seguridad  No se debe iniciar hablando sobre seguridad en las redes sin antes comenzar con temas como:  Hablar.
EL CORREO ELECTRONICO. Introducción : El correo electrónico es el servicio de Internet con más usuarios de todo el mundo. Con este servicio se pueden.
Escritorio Remoto de Windows 2003 Server 3. C liente Conectar Utilizar programa remoto Sesión y ventanas Rendimiento Recursos compartidos Programa de inicio.
J.C.Cano, J. Sahuquillo, J.L. Posadas 1 Juan Carlos Julio Juan Luis
Mejoras y Nuevas Características de ISA Server 2004 Chema Alonso MVP Windows Server Security
Auditoría de Sistemas y Software
Principios de seguridad de Windows XP La mayoría de sistema operativos aparecen términos lógicos como Autentificación y Autorización AUTORIZACION Para.
MICROSOFT ISA SERVER PRESENTADO A: FABIO LASSO
Creación y administración de cuentas de usuario locales
Software para proteger la máquina
SEGURIDAD INFORMATICA
Creación de un dominio Windows  Descripción general Introducción a la creación de un dominio de Windows 2000 Instalación de Active Directory Proceso.
Instalación y Configuración Inicial del Sistema
Curso Básico de Control de Accesos. Bienvenidos Introducción y Presentación Bienvenidos al curso básico de control de accesos de QDigital, este curso.
Seguridad DNS. Javier Rodríguez Granados.
S EGURIDAD DNS - V ULNERABILIDADES, AMENAZAS Y ATAQUES. - M ECANISMOS DE SEGURIDAD. Luis Villalta Márquez.
Herramientas de Seguridad y Protección de Datos Antonio Casado Servicio de Informática.
Cuentas de usuarios y grupos en windows 2008 server
 Un Firewall o Cortafuegos, es un componente de la red cuyo objetivo es impedir el acceso no autorizado desde internet (ingreso de mensajes no autorizados)
Creación y administración de cuentas de usuario de dominio
LOS RIESGOS DE INTERNET DELEGACIÓN EDUCACIÓN CONTROL PARENTAL El Control parental es una herramienta destinada a impedir un uso indebido del equipo por.
Trabajo realizado por: Rosa Fernández Extremera Virginia Sánchez López.
Redes de Transmisión de Datos
1. Aclaración: © © Todos los derechos reservados. No está permitida la reproducción parcial o total del material de esta sesión, ni su tratamiento informático,
Administración de políticas de seguridad. -Seguro por diseño - Seguro por defecto - Seguro en implementación - Seguro en comunicaciones Iniciativa Trustworthy.
Windows es un sistema muy configurable por pate del usuario Estas configuraciones suelen estar algo ocultaspara que no sean axesibles por los usuarios.
UNIVERSIDAD LATINA BASES DE DATOS ADMINISTRACIÓN.
INTRODUCCIÓN Para comenzar les hablaremos de lo que significa Windows server 2003, el cual es un sistema operativo de la familia Windows de la marca Microsoft.
File Transfer Protocol.
Cuentas de usuarios y grupos en windows 2008 server
Manual violento de Navicat
Gabriel Montañés León.  El sistema de nombres de dominio (DNS, Domain Name System) se diseñó originalmente como un protocolo. Antes de considerar qué.
Michael Ángelo De Lancer Franco Windows Server 2008 dispone de muchas características que mejoran la seguridad y el cumplimiento. Algunas mejoras.
CONTROL DE ATAQUES INFORMATICOS
Problemas asociados a DHCP - Seguridad
UD 3: “Implantación de técnicas de seguridad remoto. Seguridad perimetral.” Arquitecturas de cortafuegos Luis Alfonso Sánchez Brazales.
Tecnologías Cliente / Servidor Capitulo II Richard Jiménez V. clienteserver.wordpress.com.
UD 2: “Instalación y administración de servicios de configuración automática de red” Problemas asociados a DHCP. Seguridad Luis Alfonso Sánchez Brazales.
Unidad 4. Servicios de acceso remoto
APLICACIONES EN LINEA.
Universidad Latina CONTROL INTERNO.
S EGURIDAD Y A LTA D ISPONIBILIDAD Nombre: Adrián de la Torre López.
Instalación de Moodle local, paso a paso.
Problemas DHCP: DHCP es un protocolo no autenticado. Cuando un usuario se conecta a una red no necesita proporcionar credenciales para obtener una concesión.
Módulo 2: Administrar cuentas de usuario y de equipo.
Protección de un servicio Web 1.Autenticación. 2.Gestión de usuarios y grupos. 3.Gestión de servicios. 4.Gestión de sistema de ficheros. 5.Firewall. 6.Prevención.
Transcripción de la presentación:

Madrid, junio de 2009 Seguridad en bases de datos: SQL Server 2005 y Oracle 10g

Autenticación

Introducción a la seguridad de la información Configuración de la plataforma Confidencialidad Integridad Disponibilidad Autenticación Autorización Auditoría Integración de bases de datos con otras aplicaciones Hacking de base de datos Índice del curso

Índice del capítulo Tipos de usuarios Mecanismos de autenticación Gestión de contraseñas Autenticación fuerte

Objetivos de la autenticación Identificar a los usuarios que acceden a la bbdd con un grado razonable de confianza

Métodos de autenticación Algo que el usuario conoce Usuario/contraseña, PIN, frase de paso Algo que el usuario posee Certificado digital, token, tarjeta Algo que el usuario es Biometría: iris, huella dactilar El lugar en el que el usuario está Sistemas de localización en interiores (ILS), geolocalización IP

Tipos de autenticación en bbdd Internos Autenticación por la propia bbdd Los usuarios sólo existen dentro de la bbdd Externos Los usuarios de bbdd pueden asociarse a usuarios o grupos del SO Autenticación por el SO El SO resuelve el problema de la gestión de contraseñas

Autenticación en SQL Server 2005 Dos modos de autenticación Windows (predeterminada y recomendada): El SO se encarga de la autenticación Mixta: Los usuarios pueden autenticarse a través del SO o de la bbdd

Mejores prácticas según Microsoft Utilice autenticación Windows siempre que sea posible Utilice el modo mixto sólo con aplicaciones que no soportan la autenticación Windows o para usuarios de entornos no Windows Asegure siempre la cuenta sa con una contraseña robusta (jamás la deje en blanco) Aunque active el modo mixto, utilice usuarios de Windows para tareas administrativas Renombre la cuenta sa para prevenir ataques de diccionario/fuerza bruta contra ella

Autenticación en Oracle 10g Autenticación nativa de Oracle: usuarios internos a la bbdd Autenticación por el SO: usuarios externos a la bbdd Cuando se cambian las contraseñas de usuarios internos viajan en claro por la red, no así con los externos

Práctica: Creación de usuarios Crear usuarios internos y externos utilizando las herramientas gráficas de administración de Oracle 10g y de SQL Server 2005

Opciones de implementación No utilice contraseñas en blanco No deje contraseñas predeterminadas Audite sus contraseñas Utilice las mejores prácticas para contraseñas Utilice una herramienta de cracking de contraseñas Monitorice los inicios de sesión fallidos en busca de ataques contra la autenticación

Buenas prácticas para contraseñas Utilice contraseñas con mezcla de mayúsculas y minúsculas Utilice números en sus contraseñas Utilice signos de puntuación Se recomienda un mínimo de ocho caracteres

Malas prácticas para contraseñas Utilizar la misma contraseña en todas las máquinas y servicios Utilizar como contraseña el nombre de usuario o variaciones del mismo (p.e. hacia atrás) Utilizar palabras sencillas, recogidas en diccionarios Utilizar información fácilmente vinculable Utilizar fechas Utilizar contraseñas tan difíciles de recordar que es necesario apuntarlas en un post-it

Gusano Spida o SQL Snake Objetivo del ataque: servidores SQL Server con la contraseña de sa en blanco Funcionamiento: Escaneo de IP en busca del puerto 1433 a la escucha Intento de conexión utilizando sa con contraseña en blanco o una lista de contraseñas sencillas Si tiene éxito: se copia y se propaga a otros sistemas SQL Server antes venía con la contraseña de sa en blanco En Oracle también se utilizaban contraseñas predeterminadas

Práctica: Cracking de contraseñas Capaces de realizar ataques contra la autenticación: Diccionario: se prueban palabras habituales Fuerza bruta: se prueban todas las combinaciones posibles de letras Herramientas SQLdict: ntsecurity.nu/toolbox/sqldict ForceSQL: Checkpwd: security.com/software/checkpwd.html SQLPat:

Herramientas de verificación de contraseñas Se ejecutan en la propia bbdd, no en remoto Tienen acceso a la tabla donde se almacenan las contraseñas SQL Server: NGSSQLCrack: Oracle: Oracle Auditing Tools (OAT): Oracle Password Cracker: Sólo funcionan para usuarios internos a la bbdd, no para el SO (para el SO existen otras herramientas)

Monitorización de inicios de sesión fallidos Siempre deberían monitorizarse los inicios de sesión fallidos: Los usuarios legítimos fallan una o dos veces Las aplicaciones no fallan jamás El cracking falla muchas veces por segundo o por minuto Una vez con estos registros: Pueden revisarse periódicamente Pueden generarse alertas automáticas al superarse un umbral La monitorización de estos registros puede hacerse: Dentro de la bbdd con herramientas nativas Utilizando una herramienta externa de monitorización

Bloqueo de cuentas Puede bloquearse la cuenta cuando se supera un umbral de intentos fallidos de inicio de sesión Puede implantarse tanto para usuarios internos como externos

Práctica de bloqueo de cuentas Oracle El atributo FAILED_LOGIN_ATTEMPTS de los perfiles de seguridad SQL Server Utilizar el administrador

Ataque de denegación de servicio El bloqueo de cuentas es un arma de doble filo Podría ser utilizado por un atacante para DoS Posible solución: Bloquear la dirección IP en lugar de la cuenta Se asume que el atacante utiliza una IP distinta a la de los usuarios legítimos Implementación con un cortafuegos o herramienta externa

Gestión de contraseñas Bloqueo de cuentas Número de intentos de inicio de sesión fallidos Caducidad de contraseñas Tiempo máximo de validez Períodos de gracia Historial de contraseñas Prohibido reutilizar contraseñas antiguas Complejidad de contraseñas Longitud mínima, tipos de caracteres, etc.

Perfiles en Oracle Bloqueo de cuentas FAILED_LOGIN_ATTEMPTS PASSWORD_LOCK_TIME Caducidad de contraseñas PASSWORD_LIFE_TIME PASSWORD_GRACE_TIME Historial de contraseñas PASSWORD_REUSE_TIME PASSWORD_REUSE_MAX Complejidad de contraseñas PASSWORD_VERIFY_FUNCTION

Práctica: Creación de perfiles de usuario en Oracle Crear el siguiente perfil de usuario: \rdbms\admin\utlpwdmg.sql Máximo número de intentos fallidos: 3 Tiempo de bloqueo de contraseña: 1 hora Caducidad de contraseñas: 60 días Período de gracia: 7 días Reutilización de contraseñas: 6 cambios Complejidad: mínimo 8 caracteres alfanuméricos con signos de puntuación Asignar el perfil a un usuario y probarlo

Directivas de contraseñas en SQL Server 2005 Dos tipos de reglas: Directivas de contraseñas Directivas de bloqueo de contraseñas Se utiliza la Consola de Directivas de Grupo Objeto Directiva de Grupo Local Al crear nuevos usuarios debe activarse esta opción

Directivas de contraseñas Historial de contraseñas Mínima edad de contraseñas Máxima edad de contraseñas Longitud mínima de contraseñas Complejidad de contraseñas

Directivas de bloqueo de contraseñas Umbral de bloqueo de cuenta Duración del bloqueo Reiniciar el contador de bloqueo tras n minutos

Feedback: Política de privacidad Feedback
Do Not Sell My Personal Information
Sobre el proyecto: SlidePlayer Condiciones de uso

© 2024 SlidePlayer.es Inc. All rights reserved.